CVE-2022-22978 Spring Security Authorization Bypass in RegexRequestMatcher

# CVE-2022-22978: Spring Security Authorization Bypass in RegexRequestMatcher In Spring Security versions 5.5.6 and 5.6.3 and older unsupported versions, RegexRequestMatcher can...

Django Trunc(kind) and Extract(lookup_name) SQL注入漏洞(CVE-2022-34265)

# Django Trunc(kind) and Extract(lookup_name) SQL注入漏洞(CVE-2022-34265) [中文版本(Chinese version)](README.zh-cn.md) Django在2022年7月4日发布了安全更新,修复了在数据库函...

Spring框架Data Binding与JDK 9+导致的远程代码执行漏洞(CVE-2022-22965)

# Spring框架Data Binding与JDK 9+导致的远程代码执行漏洞(CVE-2022-22965) 在JDK 9+上运行的Spring MVC或Spring WebFlux应用程序可能存在通过数据绑定执行远程代码(RCE)的漏洞。 现...

ThinkPHP 多语言本地文件包含漏洞

# ThinkPHP 多语言本地文件包含漏洞 ThinkPHP是一个在中国使用较多的PHP框架。在其6.0.13版本及以前,存在一处本地文件包含漏洞。当多语言特性被开启时,攻击者可以使用`lang`参数来包含任意...

MinIO集群模式信息泄露漏洞(CVE-2023-28432)

# MinIO集群模式信息泄露漏洞(CVE-2023-28432) MinIO是一个开源对象存储系统。 在其`RELEASE.2023-03-20T20-16-18Z`版本(不含)以前,集群模式部署下存在一处信息泄露漏洞,攻击者可以...

OpenSSL无限循环DOS漏洞(CVE-2022-0778)

# OpenSSL无限循环DOS漏洞(CVE-2022-0778) OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网...

Redis Lua 沙箱绕过 远程命令执行 CVE-2022-0543

# Redis Lua 沙箱绕过 远程命令执行 CVE-2022-0543 ## 漏洞描述 Redis是著名的开源Key-Value数据库,其具备在沙箱中执行Lua脚本的能力。 Debian以及Ubuntu发行版的源在打包Redis时,在...

Redis 小于5.0.5 主从复制远程命令执行漏洞

--- Title: Redis 小于5.0.5 主从复制远程命令执行漏洞 --- # Redis 小于5.0.5 主从复制远程命令执行漏洞 ## 漏洞描述 在2019年7月7日结束的WCTF2019 Final上,LC/BC的成员Pavel Top...

Jetbrains TeamCity 认证绕过导Seeyon程命令执行漏洞(CVE-2023-42793)

# Jetbrains TeamCity 认证绕过导Seeyon程命令执行漏洞(CVE-2023-42793) TeamCity 是 JetBrains 的构建管理和持续集成服务器。 在 TeamCity 2023.05.3 版本及以前,存在一处由于逻辑错...

Jumpserver随机数种子泄露导致账户劫持漏洞(CVE-2023-42820)

# Jumpserver随机数种子泄露导致账户劫持漏洞(CVE-2023-42820) Jumpserver是一个开源堡垒机系统。在其3.6.4及以下版本中,存在一处账户接管漏洞。攻击者通过第三方库[django-simple-captch...

librsvg XInclude 文件包含漏洞(CVE-2023-38633)

# librsvg XInclude 文件包含漏洞(CVE-2023-38633) librsvg是一个用于处理SVG图片的开源依赖库。 librsvg支持XML中的XInclude规范,可以用于加载外部内容。在librsvg 2.56.3版本以前,...

YApi NoSQL注入导Seeyon程命令执行漏洞

# YApi NoSQL注入导Seeyon程命令执行漏洞 YApi是一个API管理工具。在其1.12.0版本之前,存在一处NoSQL注入漏洞,通过该漏洞攻击者可以窃取项目Token,并利用这个Token执行任意Mock脚本,获取...

Adobe ColdFusion 本地文件包含漏洞(CVE-2023-26360)

# Adobe ColdFusion 本地文件包含漏洞(CVE-2023-26360) Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设...

Confluence OGNL表达式注入命令执行漏洞(CVE-2022-26134)

# Confluence OGNL表达式注入命令执行漏洞(CVE-2022-26134) Atlassian Confluence是企业广泛使用的wiki系统。2022年6月2日Atlassian官方发布了一则安全更新,通告了一个严重且已在野利用的...

Confluence OGNL表达式注入命令执行漏洞(CVE-2023-22527)

# Confluence OGNL表达式注入命令执行漏洞(CVE-2023-22527) Atlassian Confluence是企业广泛使用的wiki系统。 在Confluence 8.0到8.5.3版本之间,存在一处由于任意velocity模板被调用导...

Confluence 属性覆盖导致权限绕过漏洞 (CVE-2023-22515)

# Confluence 属性覆盖导致权限绕过漏洞 (CVE-2023-22515) Atlassian Confluence是企业广泛使用的wiki系统。 2023年10月4日,Atlassian官方发布了对于CVE-2023-22515漏洞的补丁。这个漏洞...

GeoServer OGC Filter SQL注入漏洞(CVE-2023-25157)

# GeoServer OGC Filter SQL注入漏洞(CVE-2023-25157) GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现,利用 GeoServer 可以方便的发布地图数据,允许用户对特征数据进行更新、删除、插...

ImageMagick任意文件读取漏洞(CVE-2022-44268)

# ImageMagick任意文件读取漏洞(CVE-2022-44268) ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。 在...

JeecgBoot JimuReport 模板注入导致命令执行漏洞(CVE-2023-4450)

# JeecgBoot JimuReport 模板注入导致命令执行漏洞(CVE-2023-4450) JeecgBoot 是一个开源的低代码开发平台,Jimureport 是低代码报表组件之一。 当前漏洞在 1.6.1 以下的 Jimureport 组...

Apache ActiveMQ Jolokia 后台远程代码执行漏洞(CVE-2022-41678)

# Apache ActiveMQ Jolokia 后台远程代码执行漏洞(CVE-2022-41678) Apache ActiveMQ 是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring F...